Plim…! Nova mensagem no telemóvel. Uma SMS do Continente. Provavelmente a recordar que o cupão dos 10% de desconto ainda não foi utilizado ou a anunciar mais uma mega promoção nos detergentes da roupa. Ah, afinal… houve um sorteio? Um prémio? Para mim?
Cara Patrícia, a 3 de novembro o seu nome foi escolhido como o segundo vencedor no nosso sorteio de novembro. Veja as informações aqui http://8pa.us/doJtU
Os mais avisados podem hesitar uns segundos, duvidar da veracidade da mensagem e, eventualmente, apagá-la em seguida. Mas a maioria verá que foi enviada do que aparenta ser o mesmo número usado pelo Continente nos contactos telefónicos (a mensagem surge associada às enviadas anteriormente), notando também o tratamento correto pelo primeiro nome… Será verdade? A curiosidade geralmente fala mais alto e um impulso para carregar no link associado é tudo o que basta.
Milhares de SMS fraudulentas foram enviadas em nome do Cartão Continente na terça-feira, 5, remetendo para uma página onde se promete a entrega de um telemóvel, mediante a resposta a algumas perguntas.
Esta técnica de phishing (“pesca” de dados pessoais) é mais recente e mais sofisticada do que as mensagens enviadas por email. Designa-se por smishing (phishing por SMS) e pode colocar em perigo toda a informação guardada nos telemóveis, incluindo palavras-chave e dados dos cartões de crédito.
Já no ano passado tinha sucedido um caso semelhante, referindo um “sorteio de códigos postais”. O Continente apresentou queixa contra desconhecidos junto das autoridades policiais, tal como fará neste caso, garante a empresa em resposta à VISÃO: ” Estamos em contato com as autoridades competentes no sentido de resolver esta situação. Esta ação pode revelar-se particularmente morosa, uma vez que os responsáveis pelo ataque utilizam websites e servidores alojados no estrangeiro.”
A Sonae reconhece que “a marca Continente está a ser utilizada num esquema de phishing que tem por objetivo a obtenção de dados pessoais”, mas assegura que “não houve qualquer acesso indevido a dados pessoais de clientes Continente, uma vez que este ataque faz envios para contactos aleatórios – clientes e não clientes Continente”.
Mas como podem as mensagens ser enviadas usando o mesmo número do Continente? A Sonae garante que “o número registado para envio das SMS é diferente do utilizado pelo Continente” no contacto com os clientes. “No entanto, no telefone dos visados o remetente é mascarado como Continente, o que dificulta identificar que se trata de uma fraude.” Nos emails fraudulentos é fácil identificar os links “não oficiais” (neste caso, winnerloyaltyprize.site, em vez de continente.pt), mas nos telefones basta ser atribuído o mesmo nome ao remetente para que seja assumido todo o histórico de SMS enviadas.
A empresa avança ainda à VISÃO que os seus peritos informáticos aferiram que, “em muitos casos, o nome do destinatário utilizado não consta da base de dados” do Continente, “pelo que estará a ser utilizada informação alheia” à Sonae.
Segundo a Interpol, os esquemas de phishing mais sofisticados detetados em 2018 e 2019 estão a combinar informações de bases de dados diferentes, compradas na Dark Web.
A empresa recorda que “o Continente nunca solicita dados pessoais/confidenciais por email ou SMS”, aconselhando os clientes a que, sempre que lhes sejam solicitados dados, “não respondam ou cliquem em qualquer link, apagando de imediato as mensagens”.
As pessoas que tenham seguido o link enviado podem ter colocado em risco as informações armazenadas no seu telefone, caso o ataque vise a instalação de keyloggers, software cuja finalidade é registar tudo o que é digitado, para capturar senhas e dados dos cartão de crédito, por exemplo, ou para usar o número de telefone para desviar dinheiro (o que surgirá refletido numa conta telefónica absurda…) Neste caso, justifica-se uma “limpeza” do dispositivo, usando um programa adequado à eliminação de aplicações maliciosas.
Na maioria dos casos, contudo, estes esquemas de smishing são apenas bem sucedidos quando se responde ao solicitado. Se tomou como verdadeiro algum destes “inquéritos”, deve apresentar queixa à polícia.